Seguridad de redes OT

La gran interconectividad que existe en la actualidad gracias a los dispositivos conocidos como el Internet de las cosas, o IoT por sus siglas en inglés (Internet of things), permiten administrar nuestro día a día, simplificando la jornada laboral. Conlleva, evidentemente, al crecimiento de interconexión, lo cual trae consigo la posibilidad de violación de datos, generando la necesidad de proteger los dispositivos o sistemas conectados contra la divulgación o ataque basado en la red usando diversas herramientas.

Ciberseguridad
Honeypots en IoT
Tipos de Honeypots

Los honeypots se pueden dividir principalmente en dos de acuerdo a los objetivos que se les den, existen los de producción y los de investigación:

Honeypots de producción

Son fáciles de implementar y mantener, van destinados a utilizarse en entornos de producción de empresas. Es impulsado por la necesidad de lograr un mayor nivel de seguridad, no obstante, recopila menor cantidad de información. También dan respuesta a la empresa sobre por qué reciben ciberataques y cuál es el motivo de que los ciberdelincuentes se hayan fijado en esa empresa.

Honeypots de investigación

Normalmente los utilizan organizaciones sin ánimos de lucro e instituciones educativas donde su objetivo es descubrir nuevas amenazas, aprender y estudiar acerca de técnicas de ataque, para poder mejorar la protección de un sistema de los distintos patrones de ataque y amenazas.

No aportan ningún valor directo a la seguridad de una organización puesto que no se implementan para proteger redes, sino que se usan generalmente para la investigación y análisis forense de redes de forma que se puedan entender los ataques en curso y los objetivos de los atacantes para crear nuevas contramedidas.

Clasificación de honeypots según la interacción del hacker

Por su parte, los honeypots pueden clasificarse de acuerdo al nivel de interacción que se le permitirá tener al hacker con el sistema una vez que esté infectado, a mayor cantidad de datos que se quieran recopilar mayor deberá ser la interacción, pero esto conlleva un mayor riesgo para la seguridad de la red, por ello existen tres categorías de interacción principales, baja, media y alta, pero se suma también una mixta:

Baja interacción

Presentan a los atacantes servicios emulados con un subconjunto limitado de funcionalidades que van destinadas a imitar aplicaciones u otros sistemas o equipos de la red. Tiene como objetivo detectar principalmente fuentes de actividad no autorizadas. Así, el analista de seguridad puede obtener la menor cantidad de datos comparado con otros honeypots.

Su implementación se basa en instalar un software emulador de SO, seleccionar el SO y los servicios que se desean emular, establecer la estrategia de monitoreo y dejar que el software opere por su cuenta de forma normal. No obstante, dependiendo del propósito que se tenga, un honeypots de baja interacción puede ser un sistema simple que, por ejemplo, solo monitoree las conexiones entrantes, o puede ser un sistema complejo dedicado a la descarga de nuevas muestras de malware.

Estos honeypots de baja interacción que usan sistemas emulados permiten limitar las actividades del atacante al nivel y calidad de emulación que tenga el honeypot, pues la emulación de los servicios mitiga el riesgo de penetración conteniendo al intruso y evitando que acceda al SO real y cause daños en otros sistemas dentro de la red.

Como beneficio, este tipo de honeypots son sencillos de implementar, configurar, usar y mantener, los riesgos son mínimos, pero para un atacante experto son relativamente fáciles de detectar porque pueden identificar las capacidades de emulación de servicios.

Alta interacción

Son de los honeypots más avanzados, y permiten que el atacante interactúe con el SO real, dándole la posibilidad de que pueda realizar cualquier cosa solo para poder capturar la mayor cantidad de información sobre sus técnicas de ataque. Son una solución más compleja porque implican el uso de SO y aplicaciones reales implementadas en hardware real que se ejecutan de forma normal.

Tiene ventaja si se quiere almacenar en caché, rastrear y monitorear las actividades y motivaciones de un atacante humano, pues le permite descargar archivos e instalar herramientas, proporcionando grandes cantidades de información. Generalmente, los atacantes, después de un compromiso exitoso del honeypot, instalan un kit de raíz que oculte sus acciones y les permita controlar de forma remota el sistema comprometido.

Estos honeypots de alta interacción requieren de mucho tiempo y son difíciles de mantener, se debe realizar una limpieza adecuada y la reinstalación después de cada infección exitosa, para poder observar ataques posteriores independientes del ataque inicial, pero este proceso, a pesar de la ayuda de la virtualización, es lento y no permite el uso del honeypot durante la reinstalación.

Interacción mixta

Para resolver la problemática de la baja escalabilidad de los honeypots de alta interacción se propone un enfoque mixto que combine la interacción alta con la baja, introduciendo una estructura de dos pasos. En el primer paso, se procesa todo el tráfico por componentes de baja interacción que permiten cubrir una amplia gama de direcciones IP. Este honeypot de baja interacción filtra todos los ataques nunca antes vistos y los retransmite al sistema de alta interacción.

Así se pueden descartar todos los ataques conocidos anteriormente sin tener que usar los recursos del honeypot de alta interacción, y en el segundo paso, las conexiones seleccionadas se transmiten al componente de alta interacción para que sean analizadas, analizando solo aquellos ataques que sean desconocidos y por tanto, más interesantes.

Interacción media

Dan una interacción expandida de los honeypots de baja interacción, pero en menor medida que los de alta interacción. Proporcionan una implementación parcial de servicios y no permiten la interacción completa con el sistema. No permite que el SO esté expuesto directamente, pero sí se puede obtener más información y ataques más complejos por parte del atacante.

Un ejemplo es que en un sistema de interacción media se implemente parcialmente un protocolo HTTP para emular la ejecución de un proveedor conocido. Al ser más avanzado, tendrá más errores de seguridad que el hacker aprovechará para acceder al sistema.

Como puedes ver, esta herramienta es de mucha utilidad, pero evidentemente para que funcione, primero debes configurar tu sistema de red de tal forma que, cuando cualquier atacante entre a la red, lo primero que encuentre sea el sistema honeypot que hayas implementado y sus ataques se centren en ellos. Además, los honeypots en IoT, como todo sistema informático, también tienen desventajas, fallos y vulnerabilidades, ya que ellos solo pueden detectar ataques que vayan contra ellos mismos, y registrar los datos de dichos ataques, pero no lo van a poder parar.

Honeypots en el Internet de las Cosas, IoT

Los ciberdelincuentes, cada vez que sale un nuevo dispositivo al mercado, encuentran nuevos vectores de ataque y nuevas técnicas de piratería para apoderarse de los sistemas. Así que es necesario monitorear y asegurar constantemente los ecosistemas de IoT, tener la capacidad de detectar nuevos patrones y botnets emergentes, ataques DDoS, malware y exploirt de día cero.

Entre todas las herramientas que han surgido, se encuentra el honeypot. Cuenta con una red aislada y separada, que imita una red real de valor y atractiva para los atacantes. Este es un sistema trampa o señuelo, que puede actuar y verse como uno real, para hacer caer a los atacantes en él y de esa forma poder monitorear la interacción entre éstos y el dispositivo infectado.

Por tanto, se utiliza como herramienta en la seguridad informática, dispuesto en una red o sistema informático para ser el objetivo de los posibles ataques informáticos y así poder detectarlos, y obtener al mismo tiempo información de este y del atacante.

Se considera una herramienta de pentesting, de mucha utilidad para los investigadores de seguridad, que les permite reconocer los ataques y las herramientas de engaño que usan los atacantes. Así que es de suma importancia su implementación en IoT, ya que es de las plataformas más usadas hoy en día para obtener información de ataques emergentes contra diferentes tipos de software o los patrones de ataque, generar informes para analizar y proporcionar datos de inteligencia que serán usados posteriormente para crear técnicas de prevención contra amenazas de red.

¿Cómo funcionan los honeypots?

Estos sistemas trampa se configuran en una máquina virtual o un servidor en la nube, conectados a una red, pero aislados y monitoreados estrictamente por equipos de sistemas y redes. Estos se diseñan de forma que sean intencionalmente vulnerables para que así los atacantes los detecten gracias a sus debilidades, y ahí se centrarán e intentarán explotarlas para intentar atacarlas usando spam, phishing, DDoSo cualquier otro método.

Las debilidades que suelen usarse son agujeros de seguridad dentro de una aplicación, vulnerabilidades del sistema como puertos abiertos innecesarios, versiones desactualizadas de software, contraseñas débiles o un kernel antiguo sin parches.

Cuando el atacante identifica la vulnerabilidad, intenta lanzar el ataque y escalar los privilegios hasta que obtenga cierto control de la caja o aplicación, pero realmente un administrador de honeypot está observando cada paso que ese atacante da, y recopilando información que lo ayudará a fortalecer sus políticas de seguridad y a su vez, informar a las autoridades legales de lo que ocurre.

Los honeypots en IoT distraen la atención de los atacantes de los datos importantes alojados en las redes reales. Además, en general, todas las conexiones que se den a esta herramienta pueden ser tratadas como hostiles, ya que son pocas las razones que puedan motivar a un usuario legitimo a conectarse a este tipo de sistema.

Para configurarlo deberás saber qué nivel de dificultad de piratería quiere exponer al atacante, porque si es demasiado fácil, el atacante puede perder el interés o incluso darse cuenta de que no es un sistema de producción real y, si por el contrario, está demasiado reforzado, entonces no podrá recopilar ninguna información. Lo recomendable en cuanto a este punto es seleccionar una dificultad media para que simule un sistema real.

Sin embargo, se debe tener en cuenta que un atacante avanzado con suficiente nivel de conocimiento técnico puede identificar señales de que se encuentra en un honeypot. Además, existen detectores de honeypot automatizados que permiten identificar las direcciones IP de estos sistemas y facilitan la información a los atacantes que no tienen tanto conocimiento técnico.

Nuestro blog

Artículos de interés sobre la actualidad de la transformación digital.

¿Cómo crear una Antena de Wifi Casera?
| Ginzo Technologies |
En la actualidad, el mundo necesita tener más comunicación, y esto es posible mediante la señal de internet. Cada día se hace más necesario contar con dicha conexión para poder realizar cientos de gestiones, trabajo, comunicarnos con familiares y amigos, o sencillamente entretenernos con la película que está de mod...
¿Por qué tu Tienda Minorista necesita una Aplicación Móvil?
| Ginzo Technologies |
aplicaciones para el comercio minorista
En la actualidad muchos factores han influido para que los negocios crezcan no sólo con tiendas físicas o mediante páginas web, sino utilizando las aplicaciones móviles. Estas han causado un gran impacto debido a la facilidad de poder mirar en tu teléfono en el momento que quieras el contenido que deseas, y lo mejo...
¿Cómo desarrollar un Producto Mínimo Viable basado en el IoT?
| Ginzo Technologies |
tecnología
Lanzar un producto al mercado implica una ardua tarea, en la que pueda definirse si es exitoso o por el contrario será un fracaso su permanencia en ese mundo. Por este motivo, se hace necesario aplicar la metodología fundamentada en el producto mínimo viable, el cual permitirá probar la funcionalidad y recepción...
LABORAL KUTXA BENEFICIO 65 MILLONES
| Ginzo Technologies |
¡Felicitamos a Laboral Kutxa por sus 65 millones de beneficios! En GINZO TECH tenemos muchas ganas de hablarte sobre este tema. Esta vez le haremos frente a la información relacionada con los beneficios que ha recibido esta entidad financiera y también le dará otra información sobre el asunto. Laboral Kutxa es...
Cambios en el desarrollo de aplicaciones móviles
| Ginzo Technologies |
Desarrollo aplicaciones móviles
El desarrollo de aplicaciones móviles se ha convertido en una industria próspera en la última década. Con el auge de los smartphones y tablets, cada vez más personas usan aplicaciones móviles para realizar sus actividades diarias. Desde compras en línea hasta comunicarse con amigos y familiares, las aplicaciones mó...
Aproveche la IA para Aumentar la Eficiencia de su Negocio
| Ginzo Technologies |
Inteligencia Artificial
En estos tiempos actuales en que todo tipo de actividad que se realice está íntimamente ligado con la tecnología, la inteligencia artificial (IA) cada día va cobrando más fuerza, y es que esta ha llegado para hacer más fácil del trabajo de cualquier persona que lo amerite. En este sentido, la inteligencia artifi...
¿Qué es un NFT?
| Ginzo Technologies |
NFT
En la era digital, la tecnología blockchain ha revolucionado la forma en que se maneja la información y se realizan transacciones en línea. Una de las innovaciones más recientes que ha surgido gracias a la blockchain son los NFTs o Tokens No Fungibles. Un NFT es un token digital que utiliza la tecnología blockch...
Beneficios de las Aplicaciones Móviles en Pequeñas Empresas
| Ginzo Technologies |
empresas pequeñas con apps móviles
Ciertamente el uso de las aplicaciones móviles permite obtener un grado de interacción importante con los usuarios de la red. Sin embargo, se ha visto como éstas han permitido el crecimiento vertiginoso de las empresas que optan por manejar las apps. Ahora bien, en torno a esto se genera la interrogante ¿Cuál es...
¿Cuáles son los mejores Marcos de desarrollo de Android para crear Apps móviles?
| Ginzo Technologies |
marco de desarrollo de apps
Es cierto que la industria web ha ido en aumento, y más aún en esta era de la industria de aplicaciones móviles que crece cada día. Este incremento tan vertiginoso se debe a la capacidad que tienen estos sitios de atraer clientes y mantenerlos satisfechos. En este sentido, el éxito del sitio web dependerá de la est...
Inteligencia Artificial y Machine Learning en el sector Bancario y Financiero
| Ginzo Technologies |
Inteligencia artificial
El internet cada día se ha vuelto una herramienta muy importante en todas las gestiones que se precisan desarrollar, y actualmente la inteligencia artificial va cobrando más espacios, ya que muchas tecnologías la aplican para la ejecución de acciones y resolución de problemas. El sector bancario y financiero, se...
LABORAL KUTXA BENEFICIO 65 MILLONES
¡Felicitamos a Laboral Kutxa por sus 65 millones de beneficios! En GINZO TECH tenemos muchas ganas de hablarte sobre este ...
Cambios en el desarrollo de aplicaciones móviles
El desarrollo de aplicaciones móviles se ha convertido en una industria próspera en la última década. Con el auge de los smart...
Aproveche la IA para Aumentar la Eficiencia de su Negocio
En estos tiempos actuales en que todo tipo de actividad que se realice está íntimamente ligado con la tecnología, la inteligen...
¿Qué es un NFT?
En la era digital, la tecnología blockchain ha revolucionado la forma en que se maneja la información y se realizan transaccio...
Beneficios de las Aplicaciones Móviles en Pequeñas Empresas
Ciertamente el uso de las aplicaciones móviles permite obtener un grado de interacción importante con los usuarios de la red. ...
¿Cuáles son los mejores Marcos de desarrollo de Android para crear Apps móviles?
Es cierto que la industria web ha ido en aumento, y más aún en esta era de la industria de aplicaciones móviles que crece cada...

Descubre nuestras áreas de desempeño

Durante estos últimos ocho años, hemos conseguido consolidar un equipo de profesionales multidisciplinar que avala con su formación, experiencia y dedicación cada una de las áreas de negocio.

DATA SCIENCE
Estudios avanzados sobre tu operatica y dato.

  • Análisis de datos.
  • Modelado de datos.
  • Correlación estadística.
  • Business Intelligence.
  • Perfilado de cliente.
  • Machine Learning.
ÁREA DE MATEMÁTICA APLICADA
Ciencia en tu empresa, servitización de tu ciclo empresarial.

  • Investigación y Desarrollo.
  • Problemas complejos.
  • Optimización de procesos.
DESARROLLO DE SOFTWARE
Ciencia en tu empresa, servitización de tu ciclo empresarial.

  • Desarrollo Backend.
  • Desarrollo Frontend.
  • Desarrollo Apps Mobile.
  • Agile.
  • Scrum.
BLOCKCHAIN
Especializados en Tokenización y Certificación de procesos

  • Proyectos en Blockchain de trazabilidad.
  • Proyectos en Blockchain de seguridad y tokenizacion.
  • Proyectos de diseño de ICO para empresas.
SISTEMAS E INFRAESTRUCTURAS IT
Auditoría, estudio y mejora, de sistemas e infraestructuras de la información.

  • Proyectos DevOps.
  • Kubernetes as a service - KaaS.
  • Gemelos digitales.
  • Diseño Cloud.
  • Diseño de directorio activo y sistema LDAP.
  • Soluciones de correo electrónico avanzadas.
CIBERSEGURIDAD
Equipo especializado en monitorización, análisis y actuación ante ataques de serguridad.

  • Pentesting.
  • Seguridad de redes IT.
  • Seguridad de redes OT.
  • Honeypots en IoT.
  • Seguridad gestionada.

Oficinas Centrales
Francisco de Quevedo Nº18, 1B y 1C
Logroño · La Rioja

Sede Bilbao
Done Bikendi 7, 1A
Bilbo · Bizkaia

Sede Colombia
Calle 145#17 54 ap 301
Bogotá · Colombia

@.info[@]ginzo.tech
Tf.+34 941 57 57 57 (Teléfono España)
Tf.+57 601 580 0291 (Teléfono Colombia)

Contacta con nosotros a través de nuestro formulario de contacto. Te rogamos revises nuestra politica de privacidad. No enviamos spam,  simplemente responderemos a tu solicitud de la manera más ágil posible.

¿Preparado para empezar?